すべての期間は hh:mm:ss 形式で表示され、ほとんどの場合、最大期間は 1193:0:0 です。[Authentication absolute] と [Authentication inactivity] を除くすべての場合において、チェック ボックスをオフにすると、タイムアウトがデフォルト値に戻ります。これら 2 つの場合にチェックボックスをオフにすることは、新しい接続ごとに再認証することを意味します。

タイムアウトをディセーブルにするには、0 を入力します。

• [Connection]：接続スロットが解放されるまでのアイドル時間。この期間は 5 分以上にする必要があります。デフォルトは 1 時間です。

• [Half-Closed]：TCP ハーフクローズ接続を閉じるまでのアイドル時間。最小は 30 秒です。デフォルトは 10 分です。

• [UDP]：UDP 接続を閉じるまでのアイドル時間。この期間は 1 分以上にする必要があります。デフォルトは 2 分です。

• [ICMP]：全般的な ICMP 状態が終了するまでのアイドル時間。デフォルト（および最小）は 2 秒です。

• [ICMP Error]：ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間で、0:0:0 から 0:1:0 の間、または ICMP timeout 値のいずれか低い方です。デフォルトは 0（ディセーブル）です。このタイムアウトが無効で、ICMP インスペクションを有効にすると、ASA では、エコー応答が受信されるとすぐに ICMP 接続を削除します。したがってその（すでに閉じられた）接続用に生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信できます。

• [H.323]：H.245（TCP）および H.323（UDP）メディア接続を閉じるまでのアイドル時間。デフォルト（および最小）は 5 分です。H.245 と H.323 のいずれのメディア接続にも同じ接続フラグが設定されているため、H.245（TCP）接続は H.323（RTP および RTCP）メディア接続とアイドル タイムアウトを共有します。

• [H.225]：H.225 シグナリング接続を閉じるまでのアイドル時間。デフォルトは 1 時間です。すべての呼び出しがクリアされた後に接続をすぐにクローズするには、タイムアウト値を 1 秒（0:0:1）にすることを推奨します。

• [MGCP]：MGCP メディア接続が削除されるまでのアイドル時間。デフォルトは 5 分ですが、最小で 1 秒に設定できます。

• [MGCP PAT]：MGCP PAT 変換が削除されるまでのアイドル時間。デフォルトは 5 分です。最小時間は 30 秒です。

• [TCP Proxy Reassembly]：リアセンブリのためバッファ内で待機しているパケットがドロップされるまでのアイドル タイムアウト（0:0:10 ～ 1193:0:0）。デフォルトは、1 分（0:1:0）です。

• [Floating Connection]： 1 つのネットワークに複数のルートが存在し、それぞれメトリックが異なる場合、ASA は接続確立時点でメトリックが最良のルートを使用します。より適切なルートが使用可能になった場合は、このタイムアウトによって接続が閉じられるので、その適切なルートを使用して接続を再確立できます。デフォルトは 0 です（接続はタイムアウトしません）。より良いルートを使用できるようにするには、タイムアウト値を 0:0:30 ～ 1193:0:0 の間で設定します。

• [SCTP]：Stream Control Transmission Protocol（SCTP）接続を閉じるまでのアイドル時間（0:1:0 ～ 1193:0:0）。デフォルトは 2 分（0:2:0）です。

• [Stale Routes]：古いルートをルータの情報ベースから削除する前に保持する時間。これらのルートは OSPF などの内部ゲートウェイ プロトコル用です。デフォルトは 70 秒（00:01:10）です。指定できる範囲は 00:00:10 ～ 00:01:40 です。

• [SUNRPC]：SunRPC スロットが解放されるまでのアイドル時間。この期間は 1 分以上にする必要があります。デフォルトは 10 分です。

• [SIP]：SIP シグナリング ポート接続を閉じるまでのアイドル時間。この期間は 5 分以上にする必要があります。デフォルトは 30 分です。

• [SIP Media]：SIP メディア ポート接続を閉じるまでのアイドル時間。この期間は 1 分以上にする必要があります。デフォルトは 2 分です。SIP メディア タイマーは、SIP UDP メディア パケットを使用する SIP RTP/RTCP で、UDP 非アクティブ タイムアウトの代わりに使用されます。

• [SIP Provisional Media]：SIP 暫定メディア接続のタイムアウト値（1 ～ 30 分）。デフォルトは 2 分です。

• [SIP Invite]：暫定応答のピンホールとメディア xlate を閉じるまでのアイドル時間（0:1:0 ～ 00:30:0）。デフォルトは、3 分（0:3:0）です。

• [SIP Disconnect]：CANCEL メッセージまたは BYE メッセージで 200 OK を受信しなかった場合に、SIP セッションが削除されるまでのアイドル時間（0:0:1 ～ 0:10:0）。デフォルトは 2 分（0:2:0）です。

• [Authentication absolute]：認証キャッシュがタイムアウトになり、ユーザが新しい接続を再認証する必要が生じるまでの期間。このタイマーは、AAA のルールであるカットスルー プロキシでのみ使用されます。この期間は、変換スロット タイムアウトよりも短い必要があります。システムは、ユーザが新しい接続を開始するまで待機します。すべての新しい接続で認証を強制するキャッシングを無効にする前に、次の制限事項を考慮してください。

  • 接続でパッシブ FTP を使用する場合は、この値を 0 に設定しないでください。

  • [認証絶対タイムアウト（Authentication Absolute）] が 0 の場合、HTTPS 認証は動作しないことがあります。HTTPS 認証後に、ブラウザが複数の TCP 接続を開始して Web ページをロードすると、最初の接続は通過しますが、その後の接続では認証が起動されます。このため、ユーザには、認証の成功後も常に認証ページが表示されます。これを回避するには、認証の絶対タイムアウトを 1 秒に設定します。この回避策を使用すると、認証されていないユーザが同じ送信元 IP アドレスからアクセスすれば 1 秒間だけファイアウォールを通過できるおそれがあります。

• [Authentication inactivity]：認証キャッシュがタイムアウトになり、ユーザが新しい接続を再認証する必要が生じるまでのアイドル時間。この期間は、変換スロット値よりも短い必要があります。このタイムアウトはデフォルトで無効になっています。このタイマーは、AAA のルールであるカットスルー プロキシでのみ使用されます。

• [Translation Slot]：NAT 変換スロットが解放されるまでのアイドル時間。この期間は 1 分以上にする必要があります。デフォルトは 3 時間です。

• PAT 変換スロット（8.4(3) 以降、8.5(1) および 8.6(1) を除く）。PAT 変換スロットが解放されるまでのアイドル時間（0:0:30～ 0:5:0）。デフォルトは 30 秒です。前の接続がアップストリーム デバイスで引き続き開いている可能性があるため、開放された PAT ポートを使用する新しい接続をアップストリーム ルータが拒否する場合、このタイムアウトを増やすことができます。

• [Connection Holddown] ：接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。接続ホールドダウン タイマーの目的は、ルートが発生してすぐにダウンする可能性がある場合に、ルート フラッピングの影響を減らすことです。ルートの収束がもっと早く発生するようにホールドダウン タイマーを減らすことができます。デフォルトは 15 秒です。指定できる範囲は 00:00:00 ～ 00:00:15 です。

または、保護するサーバのルールがすでにある場合、ルールを編集します。

たとえば、Web サーバ 10.1.1.5 および 10.1.1.6 を保護する場合は、次のように入力します。

• [Source] = any1

• [Destination] = 10.1.1.5、10.1.1.6

• [Destination Protocol] = tcp/http

• [初期接続（Embryonic Connections）]：ホストごとの初期 TCP 接続の最大数を 2000000 までの範囲で指定します。デフォルトは 0 で、最大初期接続数が許可されることを示します。たとえば、これを 1000 に設定できます。

• [クライアントごとの初期接続（Per Client Embryonic Connections）]：クライアントごとの同時初期 TCP 接続の最大数（2000000 まで）。クライアントごとの最大初期接続数の接続を ASA からすでに開いているクライアントが新しい TCP 接続を要求すると、ASA は接続を阻止します。たとえば、これを 50 に設定できます。

すべての統計情報をイネーブルにしたり、TCP 代行受信だけをイネーブルにしたりすることができます。また、モニタリング ウィンドウとレートを調整することもできます。

[Detail] ボタンをクリックすると、履歴サンプリング データが表示されます。ASA はレート間隔の間に攻撃の数を 30 回サンプリングするので、デフォルトの 30 分間隔では、60 秒ごとに統計情報が収集されます。

統計情報をクリアするには、[Tools] > [Command Line Interface] を使用して clear threat-detection statistics tcp-intercept コマンドを入力します。

• [Add] をクリックして、新しい TCP マップを追加します。マップの名前を入力します。

• マップを選択して [Edit] をクリックします。

デフォルト値の 0 は、この設定がディセーブルであり、トラフィックのタイプに応じたデフォルトのシステム キュー制限が使用されることを意味します。

• アプリケーション インスペクション、IPS、および TCP check-retransmission の接続のキュー制限は 3 パケットです。ASA が異なるウィンドウ サイズの TCP パケットを受信した場合は、アドバタイズされた設定と一致するようにキュー制限がダイナミックに変更されます。

• 他の TCP 接続の場合は、異常なパケットはそのまま通過します。

[Queue Limit] を 1 以上に設定すると、すべての TCP トラフィックに対して許可される異常なパケットの数がこの設定と一致します。たとえば、アプリケーション インスペクション、IPS、および TCP check-retransmission トラフィックの場合、[Queue Limit] 設定が優先されるため、TCP パケットからのアドバタイズされた設定はすべて無視されます。その他の TCP トラフィックについては、異常なパケットはバッファに格納されて、そのまま通過するのではなく、正しい順序に設定されます。

これらのパケットが配列されず、タイムアウト期間内に渡されなかった場合は、ドロップされます。デフォルトは 4 秒です。[Queue Limit] が 0 に設定されない場合は、すべてのトラフィックに関してタイムアウトを変更できません。[Timeout] が有効になるには、制限を 1 以上に設定する必要があります。

• [Clear urgent flag] ：パケットを許可する前にパケットの URG フラグをクリアします。URG フラグは、ストリーム中の他のデータよりもプライオリティの高い情報がこのパケットに含まれていることを示すために使用します。TCP RFC では、URG フラグの正確な解釈が明確にされていません。そのため、エンド システムは緊急オフセットをさまざまな方法で処理しており、これが攻撃に対する脆弱性になることがあります。

• [Drop connection on window variation]：予想外のウィンドウ サイズの変更が発生した接続をドロップします。ウィンドウ サイズ メカニズムによって、TCP は大きなウィンドウをアドバタイズでき、続いて、過剰な量のデータを受け入れずに、はるかに小さなウィンドウをアドバタイズできます。TCP 仕様により、「ウィンドウの縮小」は極力避けることが推奨されています。

• [Drop packets that exceed maximum segment size]：ピアで設定した MSS を超過したパケットをドロップします。

• [Check if transmitted data is the same as original]：一貫性のない TCP 再送信を防止する再送信データ チェックをイネーブルにします。

• [Drop packets which have past-window sequence]：ウィンドウ シーケンス番号を超えているパケット、つまり、TCP パケットのシーケンス番号が TCP 受信ウィンドウの右端よりも大きい場合に、パケットをドロップします。これらのパケットを許可するには、このオプションを選択解除し、[Queue Limit] を 0（キュー制限をディセーブルにする）に設定します。

• [Drop SYN Packets with data]：データを含む SYN パケットをドロップします。

• [Enable TTL Evasion Protection]：接続の最大 TTL を最初のパケットで TTL によって決定させます。後続パケットの TTL は削減できますが、増やすことはできません。システムは、TTL をその接続の以前の最小 TTL にリセットします。これによって、TTL を回避した攻撃から保護します。

  たとえば、攻撃者は TTL を非常に短くしてポリシーを通過するパケットを送信できます。TTL がゼロになると、ASA とエンドポイントの間のルータはパケットをドロップします。この時点で、攻撃者は TTL を長くした悪意のあるパケットを送信できます。このパケットは、ASA にとって再送信のように見えるため、通過します。一方、エンドポイント ホストにとっては、このパケットが攻撃者によって受信された最初のパケットになります。この場合、攻撃者はセキュリティによる攻撃の防止を受けず、攻撃に成功します。

• [Verify TCP Checksum]：TCP チェックサムを検証し、検証に失敗したパケットをドロップします。

• [Drop SYNACK Packets with data]：データを含む TCP SYNACK パケットをドロップします。

• [Drop packets with invalid ACK]：無効な ACK を含むパケットをドロップします。次のような場合に無効な ACK が検出される可能性があります。

  • TCP 接続が SYN-ACK-received ステータスでは、受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号と同じでない場合、その ACK は無効です。

  • 受信した TCP パケットの ACK 番号が次の TCP パケット送信のシーケンス番号より大きい場合は常に、その ACK は無効です。

  （注）	無効な ACK を含む TCP パケットは、WAAS 接続で自動的に許可されます。

パケットを許可する前にオプションをクリアしたり、パケットに特定のタイプの単一オプションが含まれている場合にパケットを許可したり、パケットに特定のタイプのオプションが複数含まれていてもパケットを許可したりすることができます。デフォルトでは、他のすべてのオプションのクリア時に、特定のオプションがパケットごとに 1 回だけ表示される場合（それ以外の場合はパケットはドロップされます）に 5 つの名前付きオプションを許可します。また、MD5 または番号付きオプションのいずれかを含むパケットをドロップするように選択することもできます。TCP 接続をインスペクションする場合、設定に関係なく MSS オプションと選択的確認応答（SACK）オプションを除き、すべてのオプションがクリアされます。

サービス ポリシーで TCP マップを使用できるようになります。マップがトラフィックに影響するのは、サービス ポリシーを通して適用された場合だけです。

• 新しいルールを作成するには、[Add] > [Add Service Policy Rule] をクリックします。ウィザードの [Rules] ページまで進みます。

• 接続の設定を変更するルールがある場合は、それを選択して [Edit] をクリックします。

• [Maximum TCP & UDP Connections][Maximum TCP, UDP and SCTP Connections] ：（TCP、UDP、SCTP）トラフィック クラスのすべてのクライアントで同時に接続される最大数（2000000 まで）。デフォルトは 0 で、最大可能接続数が許可されることを示します。TCP 接続の場合、これは確立された接続のみに適用されます。

• [Embryonic Connections] ：ホストごとの初期 TCP 接続の最大数を 2000000 までの範囲で指定します。初期接続とは、送信元と宛先の間で必要になるハンドシェイクを完了していない接続要求のことです。デフォルトは 0 で、最大初期接続数が許可されることを示します。0 以外の制限を設定することで、TCP 代行受信をイネーブルにします。代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃から内部システムを保護します。また、クライアントごとのオプションを設定して、SYN フラッディングから保護します。

• [Per Client Connections]： （TCP、UDP、SCTP）クライアントごとの同時接続の最大数を指定します（最大 2000000）。クライアントあたりの最大接続数の接続をすでに開いているクライアントが新しい接続を試みると、ASA は、その接続を拒否してパケットをドロップします。TCP 接続の場合、これには確立済み接続、ハーフオープン接続、ハーフクローズ接続が含まれています。

• [Per Client Embryonic Connections]：クライアントごとの同時 TCP 初期接続の最大数を 2000000 までの範囲で指定します。クライアントごとの最大初期接続数の接続を ASA からすでに開いているクライアントが新しい TCP 接続を要求すると、ASA は接続を阻止します。

• [Embryonic Connection Timeout] ：初期（ハーフオープン）TCP 接続スロットが解放されるまでのアイドル時間。接続のタイムアウトをディセーブルにするには、0:0:0 を入力します。デフォルトは 30 秒です。

• [Half Closed Connection Timeout]：ハーフクローズ接続を閉じるまでのアイドル タイムアウト期間（0:5:0（9.1(1) 以前の場合）または 0:0:30（9.1(2) 以降の場合）～ 1193:0:0）。デフォルト値は 0:10:0 です。ハーフクローズの接続は DCD の影響を受けません。また、ASA は、ハーフクローズ接続を切断するときにリセットを送信しません。

• [Idle Connection Timeout] ：（TCP だけでなく、あらゆるプロトコルの）接続スロットが解放されるまでのアイドル時間。接続のタイムアウトをディセーブルにするには、0:0:0 を入力します。この期間は 5 分以上にする必要があります。デフォルトは 1 時間です。

• [Send reset to TCP endpoints before timeout] ：ASA が、接続スロットを解放する前に接続のエンドポイントに TCP リセット メッセージを送信するかどうか。

• [Dead Connection Detection (DCD)]：Dead Connection Detection（DCD; デッド接続検出）をイネーブルにするかどうか。アイドル接続の期限が切れる前に、ASA はエンド ホストにプローブを送信して接続が有効であるかどうかを判断します。両方のホストが応答した場合は、接続が維持されます。それ以外の場合は、接続が解放されます。最大試行回数（デフォルトは 5 で、範囲は 1 ～ 255）と、DCD プローブに応答がない場合に別のプローブを送信するまで待機する期間である試行間隔（デフォルトは 0:0:15 で、範囲は 0:0:1 ～ 24:0:0）を設定します。トランスペアレント ファイアウォール モードで動作している場合、エンドポイントにスタティック ルートを設定する必要があります。

保護対象のホストの ISN をランダム化することにより、攻撃者が新しい接続に使用される次の ISN を予測して新しいセッションをハイジャックするのを阻止します。

TTL のデクリメントは、ASA がトレース ルートにホップの 1 つとして表示されるために必要です。また、[Configuration] > [Device Management] > [Management Access] > [ICMP] で ICMP 到達不能メッセージのレート制限を増やす必要もあります。

SCTP ステートフル インスペクションをオフにするには、SCTP ステート バイパスを実装します。詳細については、SCTP ステートフル インスペクションを参照してください。

フローが NIC 自体で切り替えられる超高速パスにオフロードされる適切なトラフィック。オフロード サービスを有効にする必要もあります。[Configuration] > [Firewall] > [Advanced] > [Offload Engine] を選択します。